Перейти к содержимому
Калькуляторы

windows 2019 и публичный ресурс

Прилетела задача: на windows 2019 создать папку/ресурс и выплюнуть ее в интернет.

Вопрос знатокам, как нынче в 2021 году сделать это безопасно?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если "ЕЕ ВЫПЛЮНУТЬ", то создать ограниченную учетку, запустить(права админа не нужны) облако от майл.ру, яндекс-диск или дропбокс и настроить синхронизацию.

 

Если же требуется доступ ИНЕТА К ПАПКЕ, то ftp, наверное.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

под выплюнуть подразумевал именно доступ из мира к папке.

 

2 часа назад, rz3dwy сказал:

то ftp, наверное.

ftp только на чтение и в клиентской винде прикрутить как сетевой диск?

Была такая идея, но тут еще и запись нужна...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

WebDAV <webdav> | Microsoft Docs

 

Но по дефолту файлы не более 30 Мб пролазят. И SSL настоятельно рекомендуется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@jffulcrum а на 2019 WebDAV поддерживается? IIS вроде закончил жить на 2012.

 

8 минут назад, jffulcrum сказал:

Но по дефолту файлы не более 30 Мб пролазят.

Т.е. это лечиться? нужно чтоб файлы объемом 1-2 гига пролазели.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только что, RN3DCX сказал:

а на 2019 он поддерживается? IIS вроде закончил жить на 2012.

Компонент в системе есть.

 

1 минуту назад, RN3DCX сказал:

Т.е. это лечиться? нужно чтоб пролезало 1-2 гига.

Файлы по 1-2 гига - про DAV можно сразу забыть. Тогда FTP или стройте VPN и гоняйте SMB по VPN.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

25 минут назад, jffulcrum сказал:

Файлы по 1-2 гига - про DAV можно сразу забыть

Т.е. 30 метров это потолок?

 

25 минут назад, jffulcrum сказал:

Тогда FTP

Есть ли какие-то безопасные best практики.

 

25 минут назад, jffulcrum сказал:

VPN

В т.з. просили без VPN.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 минуты назад, RN3DCX сказал:

Т.е. 30 метров это потолок?

Нет. Если на сервере подправить конфиг, а на клиенте - реестр, пролезают и сотни мегов. Но шансы пролезть гигабайту одним куском малы, вот прям совсем.

 

4 минуты назад, RN3DCX сказал:

Есть ли какие-то безопасные best практики.

Ставится IIS с компонентом FTP. Делается локальная учетка без прав вообще. Делается папка, на нее даются права учетке. В IIS делается сайт FTP на эту папку и указыватся этот пользователь как разрешенный. В общем-то всё, SSL прикрутить еще - импорт сертификата через mmc и правило в привязке и  свойствах FTP сайта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

SMB весьма чуствителен к latency. Если большие файлы перекачивать, то, может, взлетит. А если кучу мелких, или постоянный seek по большим, то будет тормозить. Сильно, причём независимо от толщины канала, что затрудняет объяснять пользователям в чём же дело.

 

Я бы завёл специально обученную виртуалку на той-же локации что и w2019, и с одной стороны монтировал бы в неё папку по SMB, а с другой выставлял бы точку монтирования в Инет по SFTP или SSHFS.

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

15 часов назад, RN3DCX сказал:

Прилетела задача: на windows 2019 создать папку/ресурс и выплюнуть ее в интернет.

Вопрос знатокам, как нынче в 2021 году сделать это безопасно?

Никак.

Ну те ты это говно от МС ставишь, там поднимаешь гиперви с нормальным дистром линуха/фри, где у тебя стоит уже готовый дистр который делает домашнее облако со всеми возможными доступами.

За пару часов задача решается если есть опыт держания такого облака дома.

Потом можно выкинуть венду и переехать в другой хост виртуализации без особых проблем :)

 

 

11 часов назад, jffulcrum сказал:

WebDAV <webdav> | Microsoft Docs

 

Но по дефолту файлы не более 30 Мб пролазят. И SSL настоятельно рекомендуется.

 

11 часов назад, jffulcrum сказал:

Файлы по 1-2 гига - про DAV можно сразу забыть. Тогда FTP или стройте VPN и гоняйте SMB по VPN.

http://netlab.dhis.org/wiki/ru:software:nginx:webdav

клиент вебдав в венде в семёрке был полным говном, и видимо таким и остался.

Лимит там 4ГБ на файл и видимо это хардкод от DWORD = uint32_t с давних времён.

Этот дебильный клиент любой файл скачивает к себе в системный темп целиком и потом отдаёт хэндл приложению, а потом видимо закачивает обратно если что то поменялось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 часов назад, Ivan_83 сказал:

Никак.

Ну те ты это говно от МС ставишь, там поднимаешь гиперви с нормальным дистром линуха/фри, где у тебя стоит уже готовый дистр который делает домашнее облако со всеми возможными доступами.

За пару часов задача решается если есть опыт держания такого облака дома.

Потом можно выкинуть венду и переехать в другой хост виртуализации без особых проблем :)

 

Иван, где конкретика? Какое облако?

Нахрена мне домашнее облако для энтерпрайза?

 

Давай пруф в студию!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

22 часа назад, dmp.user сказал:

SMB security enhancements

SMB сам по себе безопасен, а вот авторизация - не очень, если нет домена. Плюс, опасность представляет сам открытый порт 445 - дырок, увы много, хоть последние в удалённой печати пачка. Есть SMB over QUIC | Microsoft Docs. Но это бета. И наверняка тоже со всякими печалями.

 

 

Вариант - подписка на Office365 с OneDrive Business. Дают терабайт на организацию. Но эвто облако, просто можно синхронизировать папки между сервером и клиентами через него. Можно вариант с Sharepoint, но это целая история, и не тот продукт, что может жить без присмотра и ухода.

 

Суровый вариант - iSCSI. Но защита только chap-пароль, плюс с говёным каналом там делать нечего, и вообще желателен IPv6. 
 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

21 час назад, RN3DCX сказал:

Нахрена мне домашнее облако для энтерпрайза?

Ну не помню я названий дистров для этого всего, сам погугли.

Основная идея что венду нахер с её убожеством, но формально она типа есть и типа работает.

 

https://www.tecmint.com/free-open-source-cloud-storage-tools-for-linux/

https://www.geckoandfly.com/24024/self-hosted-cloud-storage/

https://www.ubuntupit.com/best-cloud-storage-for-linux-reviewed-and-compared-for-linux-nerds/

https://www.slant.co/topics/4505/~self-hosted-cloud-storage-solutions

 

Кажется nextcloud советовали, но можно ещё повыбирать.

Может что то даже под венду нативно работает, но я бы не связывался, вертуалку хотя бы бэкапить и переносить легко, в отличии от венды.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Непонятно зачем винда, ну да ладно.

minio s3 поставьте, модно стильно, молодежно, есть s3, можно смотреть из браузера, настраиваются доступы на каталоги и юзеры. Совместимо со многими облачными клиентами.

Поставили бы linux samba, да через фаервол оставили бы доступ только для нужных адресов, ресурсов нужно минимум, а тут целая винда голой ж в интернет.

Изменено пользователем naves

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

58 минут назад, naves сказал:

Непонятно зачем винда, ну да ладно.

Это первоначальное Т.З.

 

53 минуты назад, naves сказал:

а тут целая винда голой ж в интернет

Вот в том то и дело... Поэтому и написал как нынче в 2021 году сделать это безопасно?

 

1 час назад, naves сказал:

Поставили бы linux samba, да через фаервол оставили бы доступ только для нужных адресов

Мысль хорошая, да большинство работает с динамических ip-ов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ок, если с виндой дело бесперспективное, буду аргументированно менять Т.З. на linux/unix.

Тут тоже прошу посоветовать как безопаснее дать доступ из мира к ресурсу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы так и не сказали, какие у вас клиенты будут подключаться.

Самый безопасный, наверное, через ssh клиентом типа filezilla или winscp, авторизация по ssh-ключам.

Ну или как выше говорили, ставьте nextcloud, там и браузер и версионирование и всякие плагины для совместной работы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А еще про размеры, количество, нагрузку и вообще ... 10000 одних курьеров блогоров грузящих HD ролики по пол часа или 1.5 калеки заливающих текстовые файлики раз в 1.5 недели предполагает совершенно разные решения.. Я конечно грузил в некстклауд 60г файлы после некоего тюнинга, но не надо некстклауд к таким задачам, а вот под фоточки с телефона или не шибко большое видео очень даже неплохо.... ну и паралельная закачка-скачка сотней человек в некстклауде, то еще решение, всётаки пых он сильно жрёт ресурсы на каждый воркер, а файлы в обе стороны оно через пых отдаёт. а в тот же фтп сотнями параллельных закачек обычно ничего.. но многие любят мышевозяканье и приложеньку с автосинком.. опять же как права раздавать.. тот же некстклауд дружится с АД или через лдап или через SAML на ура.. не виндовый ФТП, умеющbй юзеров из АД, сначала придётся найти (нет, скорее всего он есть, как минимум ЛДАП в PAM линуксы могут, многие ФТП сервера умеют авторизацию в PAM)..если вообще это надо, конечно..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 15.09.2021 в 10:52, RN3DCX сказал:

Ок, если с виндой дело бесперспективное, буду аргументированно менять Т.З. на linux/unix.

Тут тоже прошу посоветовать как безопаснее дать доступ из мира к ресурсу?

веб сервис с доступом к файлам и спрятать сервер за cloudflare

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

18 часов назад, naves сказал:

Самый безопасный, наверное, через ssh клиентом типа filezilla или winscp, авторизация по ssh-ключам.

Вендузятникам бы только страданий.

sshfs - вещь!

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.